Durante la fase di raccolta delle informazioni ho scoperto che esiste un altro dominio che punta allo stesso IP che sto verificando. Il primo, "www.domain.com", utilizza TLS mentre il secondo, "www-org.domain.com", non lo è. I due domini offrono la stessa funzionalità. C'è qualche motivo per avere il secondo dominio?
Una delle ragioni potrebbe essere che alcuni vecchi sistemi devono funzionare con quello che non ha il supporto TLS, ma al giorno d'oggi è strano che tu non abbia il supporto TLS sul client
Ho uno scenario simile che spiega perché questo potrebbe accadere (e no, non c'è un motivo per avere un dominio non protetto se non quello di supportare un vecchio client non aggiornabile o renderlo insicuro di proposito). Ecco la storia alla base di come ha finito con diversi domini e solo 1 con SSL:
Ero solito lavorare per una fabbrica di software. Ho sviluppato un eCommerce per un cliente. Avevamo bisogno di farlo funzionare prima di un giorno particolare. Abbiamo tutto funzionante, ma HTTPS non era ancora configurato (almeno, il pagamento con carta di credito è stato effettuato su un sistema esterno reindirizzato tramite HTTPS, quindi nessuna carta di credito potrebbe essere catturata ... beh, forse phishing). Il cliente ha acquistato 2 nuovi domini per il nuovo eCommerce, e dopo qualche tempo abbiamo indicato il dominio dal suo vecchio eCommerce a quello nuovo (quindi è terminato con più di un dominio). Avremmo aggiunto HTTPS alla seconda fase dello sviluppo, ma la nostra azienda si è rotta e non potremmo mai farlo.
Dopo un po 'di tempo, un collaboratore ha avviato il freelance per questo client e ha dovuto rendere disponibile un endpoint HTTPS in modo che altri sistemi esterni potessero inviare richieste (aggiornamento del magazzino o qualcosa di simile) e rifiutasse una connessione non HTTPS. Quindi l'ho aiutato a impostare SSL su uno dei domini. Gli altri domini non hanno ottenuto un certificato SSL perché il freelancer stava già lavorando molte ore extra non retribuite e non aveva abbastanza tempo per impostare tutto correttamente.
Abbiamo avvisato il cliente che dovevano davvero proteggere tutte le connessioni, ma sfortunatamente hanno dato la priorità ad altre cose.
Quindi il sito ha un dominio con SSL e altri domini senza di esso (con la stessa funzionalità esatta)
Finalmente, hanno risolto la situazione. C'era anche un altro dominio senza TLS "www-orgf5.domain.com" che era correlato al bilanciamento del carico F5 BIG_IP. Non mi hanno detto lo scopo dei domini ma ora quando si tenta di accedervi si viene reindirizzati a "www.dominio.com", quindi concludo che questi domini non dovrebbero essere lì (che era lo scopo principale del domanda).
Leggi altre domande sui tag web-application tls